Vvmebel.com

Новости с мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Direct access что это

Что может дать DirectAccess пользователям Windows 7?

Удаленную схему работы можно считать одним из современных трендов. Достаточно часто специалисты, которые немного приболели, не вызывают врача и не берут больничный, а остаются на пару дней работать дома. Кроме того, многие менеджеры, находясь в командировке, тем не менее, должны читать корпоративную почту, писать отчеты и пр. Помимо всего прочего, некоторые компании по тем или иным причинам (желание работника, проживание его в другом городе, отсутствие места в офисе, нехватка финансов и т.п.) держат в штате «удаленных» сотрудников. Для эффективной работы им необходимо получить доступ к корпоративному серверу и возможность осуществлять «на расстоянии» все то, что они обычно делают в офисе: читать электронную почту, работать с «закрытыми» папками, формировать аналитические отчеты. При использовании рабочих станций под управлением Windows 7 и серверов с ОС Windows Server 2008 R2 такой доступ позволяет осуществить технология Direct Access.

Основное предназначение DirectAccess такое же, как у VPN, а именно — предоставление защищенного соединения с корпоративной сетью для удаленных пользователей, работающих через публичные сети (чаще всего — интернет). Тем не менее, в отличие от VPN, здесь вся процедура осуществляется в фоновом режиме, поэтому пользователю не придется вручную осуществлять вход после перезагрузки компьютера или при обрыве связи.

DirectAccess vs. VPN

Источник: Microsoft, 2009

С помощью DirectAccess устанавливается защищенное двунаправленное соединение с использованием протоколов IPv6 и IPSec. При этом IPSec позволяет применять для шифрования передаваемого трафика алгоритмы Triple Data Encryption Standard (3DES) или Advanced Encryption Standard (AES). Использование двух протоколов является еще одним преимуществом перед привычной VPN – это гарантирует доступ в сеть даже в том случае, когда провайдер по какой-либо причине заблокировал трафик IPsec.

Схема работы с DirectAccess достаточно проста: компьютер пользователя соединяется с сервером DirectAccess, который выступает в роли своеобразного шлюза для доступа к остальным корпоративным ресурсам. При этом клиент DirectAccess, являющийся частью Windows 7, устанавливает два соединения с использованием IPSec ESP (протокол безопасного закрытия содержания — Encapsulating Security Payload): IPsec ESP тоннель с использованием сертификата компьютера для обеспечения соединения с корпоративным DNS сервером и контроллером домена, который позволяет применять к компьютеру групповые политики до входа пользователя в ОС, и IPsec ESP тоннель с одновременным использованием сертификата компьютера и учетных данных пользователя для предоставления доступа к внутренним корпоративным ресурсам и приложениям.

При большом количестве внешних пользователей для серверов DirectAccess могут применяться технологии кластеризации и балансировки нагрузки.

Хотелось бы отметить еще одно преимущество DirectAccess перед VPN. При использовании данной технологии можно отделить «корпоративный» трафик от остального, предназначенного для внешних серверов. Это позволяет снизить нагрузку на корпоративные сервера, поскольку дает возможность перенаправить интернет-трафик в обход установленных защищенных соединений.

Другие материалы рубрики

Правительству предложили создать антикризисный штаб для спасения российской электроники

Mail.ru и Сбербанк купили сервис экспресс-доставки «Самокат»

Microsoft починила в Windows 10 VPN, но сломала интернет. Проблему можно решить

Успешный стартап топ-менеджера Uber за две минуты в чате уволил 400 сотрудников

Минкомсвязи хочет продавать лекарства онлайн на портале госуслуг

Intel выпустила процессоры, работающие на рекордной частоте. Но есть нюанс

MARKET.CNEWS

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

ИТ-безопасность

Подобрать решения для повышения ИТ-безопасности компании

Разворачиваем DirectAccess на базе Windows Server 2012 R2

В этой статье мы пошагово опишем процедуру разворачивания службы удаленного доступа Direct Access на самой свежей серверной платформе Microsoft — Windows Server 2012 R2. Вообще говоря, служба Direct Access предполагает несколько сценариев работы, мы попытаемся рассмотреть наиболее общий сценарий организации сервиса DirectAccess.

Прежде чем приступить, вкратце напомним о том, что такое служба DirectAccess. Компонент DirectAccess впервые была представлена Micrisoft в Windows Server 2008 R2 и предназначался для организации прозрачного доступа удаленных компьютеров ко внутренним ресурсам сети компании. При подключении через DA пользователь может полноценно пользоваться корпоративными и доменными сервисами, а сотрудники ИТ-поддержки управлять таким компьютеров и поддерживать его актуальном с точки зрения безопасности состоянии. По своей сути DirectAccess во многом напоминает традиционное VPN подключение к корпоративной сети. Рассмотрим основные отличия DirectAccess от VPN:

  • Для установки соединения с помощью DirectAccess пользователю не нужно запускать VPN клиент – подключение осуществляется автоматически при наличия доступа в Интернет
  • Для организации соединения между клиентом DA и сервером нужно открыть только 443 порт
  • Компьютер пользователя обязательно должен находится в домене AD, а это значит что на него действуют все доменные групповые политики (конечно есть трюки, позволяющие запускать VPN до входа в Windows, но это обычно практически не практикуется)
  • Канал связи между удаленным ПК и корпоративным шлюзом шифруется стойкими алгоритмами с использованием IPsec
  • Возможно организовать двухфакторную аутентификацию с использованием системы одноразовых паролей

В чем же основные отличия версии DirectAccess в Windows Server 2012 / 2012 R2 от версии Windows 2008 R2. Основное отличие – снижение требований к смежной инфраструктуре. Так, например:

  • Сервер DirectAccess теперь не обязательно должен быть пограничным, теперь он может находиться за NAT.
  • В том случае, если в качестве удаленных клиентов используется Windows 8 Enterprise, разворачивать внутреннюю инфраструктуру PKI не обязательно (за аутентификацию клиентов будет отвечать Kerberos-прокси, расположенный на сервере DA)
  • Не обязательно стало наличие IPv6 во внутренней сети организации
  • Поддержка OTP (One Time Password) и NAP (Network Access Protection) без необходимости развёртывания UAG

Требования и инфраструктура, необходимы для развертывания DirectAccess на базе Windows Server 2012 R2

  • Домен Active Directory и права администратора домена
  • Выделенный (рекомендуется) сервер DA под управлением Windows Server 2012 R2, включенный в домен Windows. Сервер имеет 2 сетевые карты: одна находится во внутренней корпоративной сети, другая – в DMZ сети
  • Выделенная DMZ подсеть
  • Внешнее DNS имя (реальное или через DynDNS) или IP адрес, доступный из интернета, к которому будут подключатся клиенты DirectAccess
  • Настроить перенаправление трафика с порта TCP 443 на адрес сервера DA
  • Развернутая инфраструктура PKI для выпуска сертификатов. В certificate authority нужно опубликовать шаблон сертификата Web Server и разрешено его автоматическое получение (auto-enrollmen) (Если в качестве клиентов будут использоваться только Windows 8 — PKI не обязателен).
  • В качестве клиентов могут выступать компьютеры с Windows 7 и Windows 8.x редакций Professional / Enterprise
  • Группа AD, в которой будут состоять компьютеры, которым разрешено подключаться к сети через Direct Access (допустим, эта группа будет называться DirectAccessComputers)

Установка роли Remote Access

Запустим консоль Server Manager и с помощью мастера Add Roles and Features установим роль Remote Access.

В составе роли Remote Access нужно установить службу DirectAccess and VPN (RAS).

Все остальные зависимости оставляем по умолчанию.

Настройка службы Direct Access в Windows Server 2012 R2

После окончания установки службы Remote Access, откройте оснастку Tools -> Remote Access Management.

Запустится мастер настройки роли удаленного доступа. Укажем, что нам нужно установить только роль DA — Deploy DirectAccess only.

После этого должно открыться окно, в правой половине которого в графическом виде показаны четыре этапа (Step 1 – 4) настройки службы DA.

Первый этап (Step 1: Remote Clients).

Укажем, что мы разворачиваем полноценный DirectAccess сервер с возможностью доступа клиентов и их удаленного управления Deploy full DirectAccess for client access and remote management.

Далее, нажав кнопкуAdd нужно указать группы безопасности AD, в которой будут находиться учетные записи компьютеров, которым разрешено подключаться к корпоративной сети через Direct Access (в нашем примере это группа DirectAccessComputers).

Следующий шаг – нужно указать список внутренних сетевых имен или URL-адресов, с помощью которых клиент может проверить (Ping или HTTP запрос), что он подключен к корпоративной сети. Здесь же можно указать контактный email службы helpdesk и наименование подключения DirectAccess (так оно будет отображаться в сетевых подключениях на клиенте). В случае необходимости можно включить опцию Allow DirectAccess clients to use local name resolution, позволяющую разрешить клиенту использовать внутренние DNS-сервера компании (адреса DNS серверов могут получаться по DHCP).

Второй этап (Step 2: Remote Access Server)

Следующий шаг — настройка сервера Remote Access. Указываем, что наш сервер удаленного доступа представляет собой конфигурацию с двумя сетевыми картами — Behind an edge device (with two network adapters), одна их которых находится в корпоративной сети, а вторая подключена напрямую в Internet или DMZ-подсеть. Здесь же нужно указать внешнее DNS имя или IP адрес в Интернете (именно с этого адреса пробрасывается 443 порт на внешний интерфейс сервера DirectAccess), к которому должны подключаться клиенты DA.

Читать еще:  Как создать гиперссылку в powerpoint

Затем нужно указать какая сетевая карта будет считаться внутренней (Internal – LAN), а какая внешней (External – DMZ).

Свернем пока мастер настройки сервера Direct Access и сгенерируем сертификат сервера DA. Для этого создадим новую оснастку mmc, в которую добавим консоль Certificates, управляющую сертификатами локального компьютера (Computer Account)

В консоли управления сертификатами запросим новый персональный сертификат, щелкнув ПКМ по разделу Certificates (Local Computer) -> Personal -> Certificates и выбрав в меню All Tasks-> Request New Certificate

Запросим сертификат через политику Active Directory Enrollment Policy. Нас интересует сертификат на основе шаблона WebServers.

В настройках запроса нового сертификата на вкладке Subject заполним поля, идентифицирующие нашу компанию, а на вкладке Private Key укажем, что закрытый ключ сертификата можно экспортировать (Make private key exportable).

Сохраним изменения и запросим новый сертификат у CA.

Вернемся в окно настроек сервера DirectAccess и, нажав кнопку Browse, выберем сгенерированный сертификат.

На следующем шаге мастера выберем способ аутентификации клиентов Direct Access. Укажем, что используется аутентификация по логину и паролю AD (Active Directory credentials – username/password). Отметим чекбокс Use computer certificates (Использовать сертификаты компьютеров) и Use an intermediate certificate. Нажав кнопку Browse, нужно указать центр сертификации, который будет отвечать за выдачу сертификатов клиентов.

Третий этап (Step 3: Infrastructure Servers)

Третий этап – настройка инфраструктурных серверов. Нам будет предложено указать адрес сервера Network Location Server, находящегося внутри корпоративной сети. Network Location Server — это сервер, с помощью которого клиент может определить, что он находится во внутренней сети организации, т.е. не требуется использовать DA для подключения. NLS – сервером может быт любой внутренний веб-сервер (даже с дефолтной страничкой IIS), основное требование – сервер NLS не должен быть доступен снаружи корпоративной сети.

Далее укажем список DNS серверов для разрешения имен клиентами. Рекомендуется оставить опцию Use local name resolution if the name does not exist in DNS or DNS servers are unreachable when the client computer is on a private network (recommended).

Затем укажем DNS-суффиксы внутренних доменов в порядке приоритета их использования.

В окне настройки Management ничего указывать не будем.

Четвертый этап (Step 4: Application Servers)

Этап настройки серверов приложений. На этом этапе можно настроить дополнительную аутентификацию и шифрование трафика между внутренними серверами приложений и клиентами DA. Нам это не требуется, поэтому оставим опцию Do not extend authentication to application servers.

На этом мастер настройки роли Remote Access завершен, нам осталось сохранить изменения.

После окончания работы мастер создаст две новых групповых политик DirectAccess Client Settings и DirectAcess Server Settings, которые прикреплены к корню домена. Их можно оставить там, либо перелинковать на нужный OU.

Тестируем работу Direct Access на клиенте Windows 8

Чтобы протестировать работу Direct Access с клиента, добавим это компьютер (напомним, что это должен быть ПК с Windows 8.X Enterprise ) в группу DirecAccessCompurers, обновим на нем групповые политики (gpupdate /force).

Отключаем тесовую машину от корпоративной сети и подключаемся в интернету через Wi-Fi. Система автоматически подключается к корпоративной сети через DirectAccess, о чем свидетельствует статус Connected значка Workplace Connection (именно так мы назвали наше подключение при настройке сервера) в списке сетей.

Наличие подключения к сети через DirectAccess можно проверить с помощью PowerShell команды:

Если она возвращает ConnectedRemotely, значит подключение DA к корпоративной сети

Что такое Direct Access?

Что такое Direct Access и с чем его едят?

В нынешнее время все больше и больше людей работают удаленно. Даже на сайтах по поиску работы, таких как HeadHunter, можно указать то, что человек ищет именно удаленную работу. Удаленная работа может состоять и в том, что человек вяжет свитеры на домашней машинке. Но нас интересует только удаленная работа на компьютере. Причем это не говорит о том, что человек может сделать что-либо на своем домашнем компьютер, вместо офисного. Я собираюсь рассказать Вам про технологию Direct Access, которая позволяет работать на удаленном компьютере, который, например, находится в офисе, с домашнего компьютера. Это технология подразумевает то, что на домашнем компьютере нет достаточных средств или ресурсов для полноценной работы. Домашний компьютер в такой ситуации — всего лишь промежуточное звено.

Что такое VPN?

Если Вы хотите перевод, то VPN — это virtual private network(виртуальная частная сеть). Данная сеть способна связать два компьютера таким образом, что один из них будет являться управляющим, а второй управляемым. Экран управляющего компьютера будет транслировать всё то, что происходит на экране управляемого компьютера(на самом деле на экране управляемого компьютера ничего не происходит, ведь будет неудобно если кто-то будет следить за Вашими действиями). Мышка и клавиатура управляющего компьютера будут транслировать соответствующие действия на управляемый компьютер. Таким образом управляющий компьютер является всего лишь манипулятором для управления удаленным компьютером. Все действия будут выполняться на удаленном компьютере.

Огромный плюс VPN-соединения в том, что человек может удаленно получить доступ к таким ресурсам как корпоративная почта, файловые диски, специальные программы и всё то, что доступно только в условиях корпоративной сети. Но технологии не стоят на месте и всё время развиваются. Поэтому выход в свет технологии Direct Access вполне понятен. Ниже я попытаюсь объяснить плюсы Direct Access по сравнению с обычным VPN-соединением.

Direct Access

Direct Access — это новая технология от компании Microsoft, которая впервые появилась в операционной системе Windows 7. Данная технология призвана заменить привычное VPN-соединение. Функционал Direct Access полностью копирует функционал VPN-соединений. Но кроме этого у новой технологии появились свои плюсы, иначе выпускать её на рынок было бы бессмысленным:

  1. Автоматическое подключение к корпоративной сети. Технология Direct Access просит от пользователя только один раз настроить подключение к удаленному рабочему столу. В последующем Windows будет автоматически подключаться к корпоративной сети, стоит компьютеру подключиться к Интернету.
  2. Технология Direct Access предоставляет системным администратором большую гибкость при настройке прав пользователей удаленного рабочего стола. Кроме обычных прав доступа к определенным ресурсам, в Direct Access можно дополнительно указать к каким ресурсам пользователь имеет доступ удаленно. По сравнению с возможностями VPN-соединения… тут вообще нечего сравнивать.
  3. И самый большой плюс Direct Access в том, что данная технология двунаправленная. Если при обычных VPN-соединениях доступ односторонний, то есть управляющий компьютер имеет доступ к управляемому, то ситуация в Direct Access сильно поменялась. У серверов из корпоративной сети так же будет доступ к удаленному компьютеру, а это значит что компьютер не уйдет далеко от корпоративной политики, по прежнему будет получать обновления программного обеспечения. Естественно, что под политику будут подпадать только корпоративные компьютеры, думаю не будет ошибкой если сказать ноутбуки. Таким образом организация даже за пределами своих стен сможет контролировать и защищать корпоративные ценности. Кроме этого, двунаправленная система позволить скачивать файлы с одного компьютера на другой, и обратно. Привет VPN-соединению!

Как видите, технология Direct Access представляет больше возможностей по удаленной работе. Но у медали есть и оборотная сторона. В данном случае это довольно большой список требований для развертывания данной технологии. Но об этом позже.

7 шагов диагностики клиентов DirectAccess

DirectAccess является новой технологией удаленного доступа от Microsoft, позволяющей всегда быть подключенным к сети компании независимо от места нахождения. К тому же, DirectAccess позволяет ИТ персоналу предприятия всегда быть подключенным к управляемым ими активам, чтобы иметь постоянную возможность управления этими активами, содержать их в актуальном состоянии, обеспечивать их соответствие и всегда держать их под контролем сотрудников ИТ отдела предприятия. DirectAccess обеспечивается сочетанием Windows 7 и Windows Server 2008 R2, и становится еще мощнее, если добавить в эту конфигурацию продукт Unified Access Gateway (UAG) 2010. Хотя работа DirectAccess возможна без UAG, без данного продукта это решение не является жизнеспособным, готовым к работе на предприятиях решением.

Я использую DirectAccess уже достаточно длительное время и не знаю, чтобы я делала без него. Очень удобно иметь постоянное подключение. Мне не нужно думать о запуске VPN подключений, не нужно беспокоиться о том, будет ли работать мое VPN подключение, и не нужно иметь дела с ужасными веб-приложениями, которые доступны через SSL VPN шлюз. Благодаря DirectAccess я могу использовать свои всевозможные приложения для настольных компьютеров на своем клиенте для выполнения качественной работы без необходимости задумываться о подключении. Я просто всегда подключена. С точки зрения пользователя – это мечта, ставшая реальностью.

Читать еще:  Access не равно

Однако, администраторам, возможно, придется диагностировать DirectAccess подключения от случая к случаю. Хотя DirectAccess подключения весьма надежны, в мире нет ничего идеального, и могут возникать ситуации, когда клиенты не могут подключиться, в результате чего вам придется определять причины проблемы. Именно это мы и будем обсуждать в этой статье: некоторые основные шаги, которые можно предпринять для диагностики подключений DirectAccess клиентов.

Основываясь на документации Microsoft и своем собственном опыте проб и ошибок, предлагаю вам свой план из семи шагов по диагностике подключения DirectAccess клиентов:

  • Проверить, что клиенты DirectAccess получили свои параметры групповой политики
  • Проверить, что клиент знает, что он находится не в интрасети
  • Проверить NRPT параметры на DirectAccess клиенте
  • Проверить IPv6 адрес на DirectAccess клиенте
  • Убедиться в наличии проверки подлинности для DirectAccess туннелей
  • Проверить работоспособность подключения к DNS и контроллерам домена

А теперь давайте рассмотрим каждый шаг более подробно.

Проверка параметров групповой политики

DirectAccess клиенты получают свои клиентские параметры через групповую политику. Если групповая политика не применена к DirectAccess клиенту, он не сможет работать в качестве DirectAccess клиента. Есть множество способов проверки параметров групповой политики на DirectAccess клиенте, но моим любимым является проверка брандмауэра Windows на наличие правил безопасности подключений (Connection Security Rules), которые DirectAccess клиенты используют для подключения к UAG DirectAccess серверу. Эти правила назначаются групповой политикой, поэтому если они есть, то групповая политика применена.

Можно ввести wf.msc в строку поиска на машине Windows 7, чтобы открыть консоль брандмауэра Windows Firewall with Advanced Security. В левой панели консоли нажмите на разделе Правила безопасности подключения (Connection Security Rules).

Если вы видите три правила, показанных на рисунке 1: UAG DirectAccess Client ‘ Clients Access Enabling Tunnel ‘ All, UAG DirectAccess Clients ‘ Clients Corp Tunnel и UAG DirectAccess Clients ‘ Example NLA, то можете быть уверены, что групповая политика применена.

Проверка того, что клиент знает, что он находится не в интрасети

Клиент DirectAccess должен знать, находится ли он в или за пределами корпоративной сети. Если он расположен в пределах корпоративной сети, он отключает DirectAccess туннели и использует локальное разрешение имен на основе DNS сервера, который указан в настройках его сетевой карты. Если DirectAccess клиент находится за пределами корпоративной сети, он будет создавать DirectAccess туннели для подключения к UAG DirectAccess серверу, и будет позволять UAG DirectAccess серверу разрешать имена для DirectAccess клиента.

Можно быстро определить, знает ли клиент DirectAccess о том, находится ли он в или за пределами корпоративной сети, с помощью следующей команды:

netshdns show state

Эта команда должна вернуть результат, похожий на рисунок 2 ниже.

Как показано на рисунке, расположение машины обозначено как Вне корпоративной сети (Outside corporate network). Если бы машина сообщила о том, что она находится в пределах корпоративной сети, когда на самом деле это не так, то вам пришлось бы искать причину такого сообщения. А если машина, находясь в корпоративной сети, сообщает о том, что она находится за ее пределами, также придется искать причину этого. Во втором случае неисправность, скорее всего, в проблеме подключения к серверу сетевых расположений (Network Location Server — NLS).

Проверка параметров таблицы политики разрешения имен на клиенте DirectAccess

Таблица политики разрешения имен (Name Resolution Policy Table — NRPT) используется клиентом DirectAccess для определения того, какой DNS сервер должен использоваться для разрешения имени. Когда DirectAccess клиент находится во внутренней сети, NRPT отключена, и единственным DNS сервером, используемым клиентом, является DNS сервер, настроенный на его сетевой карте. Однако когда DirectAccess клиент находится за пределами корпоративной сети, NRPT включается и используется для определения того, какой DNS сервер будет использоваться для разрешения имен в зависимости от имени, которое нужно разрешить.

Параметры таблицы NRPT можно посмотреть с помощью следующей команды:

netsh namespace show effectivepolicy

На рисунке 3 видно, что все имена в домене corp.contoso.com будут отправляться на DNS сервер по адресу 2002:836b:3::836b:3, а это 6to4 адрес на сервере UAG DirectAccess. Сервер UAG DirectAccess используется в качестве DNS сервера, так как UAG DirectAccess использует DNS64 в качестве DNS прокси для клиентов DirectAccess. Обратите внимание, что имя nls.corp.contoso.com не имеет адреса DNS сервера в списке, поскольку оно представляет собой исключение из серверов в corp.contoso.com собрании. Причина в том, что вам не нужно, чтобы клиент DirectAccess подключался к NLS, находясь за пределами корпоративной сети, поскольку клиент DirectAccess использует подключение к NLS для определения того, когда он находится в корпоративной сети!

Проверка IPv6 адресов на клиенте DirectAccess

DirectAccess клиенты используют IPv6 для взаимодействия с DirectAccess сервером. Это всегда так. Клиент DirectAccess может также использовать IPv6 для взаимодействия с ресурсами в интрасети. Это будет так, если ресурсы интрасети поддерживают IPv6. Однако если ресурс интрасети не поддерживает IPv6, то UAG DirectAccess сервер будет использовать NAT64/DNS64 для перевода IPv6 сообщений с DirectAccess клиента IPv4 ресурсу в интрасети. Очень важно понимать, что DirectAccess клиент всегда использует IPv6 при подключении к UAG DirectAccess серверу.

Однако поскольку IPv6 интернет для большинства из нас пока еще не существует, нам нужно передавать IPv6 сообщения через IPv4 интернет, и это мы делаем с помощью технологий туннелирования IPv6. Клиент DirectAccess может использовать одну из трех технологий туннелирования IPv6 для подключения к UAG DirectAccess серверу через IPv4 интернет:

Вы можете определить то, какая технология туннелирования IPv6 используется, запустив команду ipconfig /all.

На рисунке 4 выше видно, что Tunnel adapter 6TO4 Adapter используется для подключения к UAG DirectAccess серверу и что для него назначен IP адрес и основной шлюз. Основной шлюз – это 6to4 адрес UAG DirectAccess сервера.

При диагностике DirectAccess клиента необходимо убедиться в том, что для него имеется IPv6 адрес. Если нет IPv6 адреса, это указывает на то, что есть проблемы в настройке IPv6 на клиенте и внимание нужно уделить этому аспекту. Могут также возникать проблемы с подключением к UAG DirectAccess серверу, поэтому нужно обязательно выполнить пинг IPv6 адреса сервера UAG, такого адреса IPv6, который указан в строке основного шлюза адаптера 6to4.

Проверка аутентификации клиента DirectAccess

Когда клиент DirectAccess подключается к UAG DirectAccess серверу, он использует IPsec туннели для обеспечения подключения к корпоративной сети. Здесь используется два туннеля:

  • Туннель инфраструктуры (Infrastructure Tunnel) ‘ это туннель, создаваемый до входа пользователя с помощью сертификата компьютера и учетной записи пользователя компьютера в Active Directory, а также с помощью проверки подлинности NTLMv2. Используется два способа проверки подлинности для создания первого туннеля, и клиент DirectAccess может получить доступ только к определенному количеству компьютеров через туннель инфраструктуры.
  • Туннель интрасети (Intranet Tunnel) ‘ этот туннель создается после создания туннеля инфраструктуры, поскольку туннель инфраструктуры необходим для предоставления доступа к контроллерам домена для проверки подлинности Kerberos. Туннель интрасети использует проверку подлинности на основе сертификата компьютера и на основе учетной записи вошедшего пользователя (Kerberos) для создания второго туннеля. Туннель интрасети позволяет пользователю подключаться к остальной части сети.

Вопрос заключается в следующем: как узнать, какой способ проверки подлинности используется и что не/работает? Одним из способов сделать это является использование консоли брандмауэра Windows Firewall with Advanced Security. Разверните раздел Наблюдение (Monitoring), затем разверните раздел Сопоставления безопасности (Security Associations) и нажмите на разделе Основной режим (Main Mode). Здесь вы видите сопоставления безопасности в основном режиме для туннелей инфраструктуры и интрасети, как показано на рисунке 5. Обратите внимание, что в разделе Второй способ проверки подлинности (2nd Authentication Method) есть подключения, использующие NLTMv2 и Kerberos V5. NTLM используется для проверки подлинности туннеля инфраструктуры, а Kerberos используется туннелем интрасети.

Обычно у вас не должно возникать проблем с NTLM проверкой подлинности. Чаще проблемы возникают с проверкой подлинности Kerberos. Убедитесь, что учетная запись пользователя не отключена и что она использует текущий пароль, а не кэшированный пароль. Обратите внимание, что вы не увидите никаких подключений по туннелю интрасети Kerberos, пока не попытаетесь подключиться к ресурсу, который не входит в состав собрания серверов, определенных как серверы инфраструктуры. Эти соединения проходят через туннель инфраструктуры с NTLM проверкой подлинности.

Проверка подключения к DNS серверам и контроллерам домена

Как и в случае диагностики сценариев без DirectAccess, необходимо убедиться, что клиент DirectAccess может взаимодействовать с вашими контроллерами домена и DNS серверами.

Например, можно выполнить следующую команду:

и вы получите результат подобный тому, что показан на рисунке 6 ниже. Здесь показано, что клиент DirectAccess смог подключиться к контроллеру домена, а также предоставлена информация о IPv6 адресе контроллера домена. Следует отметить, что если контроллер домена не имеет IPv6 адрес, вы все равно увидите здесь IPv6 адрес, но это будет NAT64 адрес.

Читать еще:  Vba access переход к записи

Вы легко можете проверить разрешение имен с помощью пинга, как показано на рисунке 7 ниже.

Если пинг запрос не выполняется по имени ресурса, попробуйте выполнить пинг запрос по его адресу IPv6. Если ресурс не поддерживает IPv6, вы можете выполнить пинг по его NAT64 адресу. Для информации о том, как рассчитать NAT64 адрес для узлов, поддерживающих только IPv4, можете использовать информация на блоге Тома здесь.

Заключение

В этой статье мы рассмотрели краткое введение о том, как диагностировать клиентов DirectAccess. Проверка этих семи моментов поможет вам получить информацию, необходимую для того, чтобы направить свои действия по устранению проблем в нужное русло. Если вы хотите узнать больше о UAG DirectAccess, для начала лучше всего подойдет руководство по диагностике в тестовой лаборатории для UAG DirectAccess, которое можно найти здесь. Дайте мне знать, если у вас возникли вопросы по диагностированию UAG DirectAccess, и я постараюсь сделать все от меня зависящее, чтобы направить вас в правильном направлении.

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Рекомендации по развертыванию NLS DirectAccess в крупном предприятии

Описание NLS DirectAccess

Основным требованием при развертывании DirectAccess является наличие отказоустойчивого NLS сервера (сервер сетевого местоположения). Он позволяет клиентам DirectAccess правильно определить свое местоположение. При доступности NLS сервера клиент понимает что он находится внутри корпоративной сети, а при не доступности за ее пределами. Если клиент не может связаться с NLS сервером он будет пытаться установить соединение с DirectAccess сервером и при его недоступности из локальной сети соединение будет терпеть неудачу, что в свою очередь приведет к недоступности локальных сервисов. В случае нахождения клиента в данный момент за пределами локальной сети, недоступность NLS сервера ни как не скажется на работе клиента, так как не найдя NSL сервер клиент успешно подключится к DirectAccess серверу.

Рекомендации по развертыванию NLS DirectAccess

Рекомендуется, чтобы сервер NLS был сконфигурирован в режиме высокой доступности, путем развертывания как минимум двух серверов в режиме балансировки нагрузки. Это необходимо для предотвращения возможных сбоев в предоставлении сервисов и услуг клиентам DirectAccess в корпоративной сети. Казалось бы такой подход является достаточным для сетей, которые расположены в одном физическом месте, но может создать дополнительные проблемы в крупных организациях, где имеется достаточное количество филиалов с территориально распределенной сетью.

Особенность NLS

В конфигурации DirectAccess возможно указать только один URL NLS сервера, это видно на рисунке ниже.

Если возникнет ситуация при которой произойдет отключение WAN сети между центральным офисом, где расположен NLS сервер, и филиальной частью, клиенты находящиеся в локальной сети филиала не смогут получить доступ к NLS серверу и будут считать что находятся за периметром корпоративной сети, что привет к попытке подключится к серверу DirectAccess. Наличие собственного NLS сервера в каждой филиальной сети позволит избежать проблем при недоступности WAN сети.

Резервирование NLS

Существует несколько стратегий, которые могут быть использованы для настройки внутренних клиентов DirectAccess на использование локальных NLS, в их число входят round robin DNS или групповые политики Active Directory. Отличие этих методов в том, что round robin DNS требует только один URL NLS, а использование групповой политики Active Directory требует уникальный URL NLS в каждом филиале.

Метод round robin DNS

Простейший способ заставить клиента DirectAccess использовать локальный сервер определения местоположения это использование round robin DNS совместно с приоритизацией подсети. Для включения этого метода необходимо создать в DNS запись типа «А», в которую добавить IP адреса каждого NLS сервера, расположенного в филиальной части корпоративной сети. Откройте диспетчер DNS сервера, щелкните правой кнопкой мыши по серверу DNS и выберете его свойства. Откройте вкладку дополнительно, включите параметры циклическое обслуживание и расстановку по адресу (round robin and netmask ordering).

Это будет гарантировать, что запросы для разрешения DNS имен NLS серверов будут возвращены с ближайшим сервером.

Метод с использованием групповой политики

Данный метод включает в себя создание уникальных имен URL NLS адресов для каждого сайта и перенастройку конфигурации клиента DirectAccess исходя из его местоположения средствами групповых политик Active Directory. Необходимо создать отдельные объекты групповой политики и связать их с сайтами где будет находиться NLS сервера. Откройте редактор групповых политик и создайте новую GPO. Перейдите в раздел Конфигурация компьютера/Шаблоны администрирования/Сеть/Индикатор состояния сетевого подключения параметр URL-адрес определения расположения домена. Включите его и укажите URL-адрес, который будет соответствовать этому месту. Например в офисе А это будет nls-a.example.com, а в офисе B это будет nls-d.example.com. Соответственно у вас будет две групповых политики.

В консоли управления удаленным доступом необходимо отредактировать настройки серверной инфраструктуры (шаг 3) и добавить полные доменные имена каждого NLS сервера. Это создаст запись в таблице разрешения DNS имен, и исключит возможность доступа к серверу NLS когда клиент подключен удаленно.

В консоли управления групповыми политиками щелкните правой кнопкой мыши сайты и выберете показать сайты.

Выберете сайты где у вас будет располагаться NLS сервера и назначьте этим сайтам соответствующие групповые политики.

Важно!

Не устанавливайте NLS сервер на контроллер домена! В соответствии с архитектурой, NLS не должен быть доступен удаленным клиентам DirectAccess. Это может привести к потенциальным проблемам аутентификации клиентов DirectAccess.

Проверка клиента DirectAccess

Для проверки, что клиентский компьютер был настроен на использование нужного NLS необходимо ввести команду на клиентском компьютере:

Далее необходимо подтвердить настройку NLS, выполнив следующую команду:

Кратко о главном

Существуют ограничения в использовании URL-адресов NLS серверов. Они заключаются в том, что нельзя в настройках клиента DirectAccess указать больше чем одно имя. Это может привести к потенциальным точкам отказа при разработки архитектуры DirectAccess. Описанные в статье метода позволяют избавиться от потенциальных точек отказа и гарантировать что клиенты DirectAccess всегда смогут подключиться к локальному NLS серверу, что значительно повышает надежность технологии.

Возможно это тоже интересно:

Навигация по записям

Рекомендации по развертыванию NLS DirectAccess в крупном предприятии : 8 комментариев

Здравствуйте.
А что Вы скажите о конфигурации, когда все клиенты в региональных филиалах подключаются к центральному офису по DA? Например есть два филиала, в которых по +-30 компьютеров.
Имеет ли право на жизнь такая конфигурация? И есть ли какие-то рекомендации по её настройке?

  1. Алексей Орлов Автор записи 01.10.2015 в 11:52

Добрый день, Алексей! Спасибо за интерес к блогу ))). Вы описали вполне рабочую схему. Что вас в ней смущает? По факту для вас каждый пользователь будет иметь статус внешнего.

Спасибо за ответ!
Смущает нагрузка. Нормально ли такое количество клиентов для сервера DA? Или лучше объединять филиалы по классическому VPN через «железное» оборудование (mikrotik, cisco).
И еще, как я понимаю, что возможность управления клиентами через средства удаленного администрирования, DameWare, Radmin и т.д., как при классическом vpn, будет недоступна?

  1. Алексей Орлов Автор записи 01.10.2015 в 12:35

Прямых данных указывающих с какой нагрузкой может работать DirectAccess сервер нет, но есть данные полученные в ходе испытаний Планирование мощности DirectAccess. Таким образом даже при минимальной конфигурации Direct Access север способен обработать до 750 единовременных подключений. Нужно понимать что технология DirectAccess создавалась в первую очередь для подключения удаленных мобильных пользователей и может частично решать проблемы подключения удаленных офисов, как при VPN. Однако стоит понимать что вам не получится подключить из удаленного офиса принтер, сетевой диск, так как для вашей сети это будут чужие устройства. Касаемо управления клиентами. Microsoft в последней документации выпилила реализацию подключения к клиенту средствами ISATAP. Почему не знаю. Убрали упоминание о ISATAP даже при одиночном развертывании DirectAccess, написав что нужен чистый IPv6. Это не правда. ISATAP прекрасно работает в сетях где не используется IPv6 протокол. Вы полностью можете получить доступ к удаленному клиенту через ISATAP используя для подключения DNS имя клиента. Скажу больше, вы сможете подключиться к ПК даже еще до момента ввода пользователем логина в Active Directory.

Не планируете написать статью про то, что нужно настроить, чтобы подключиться к клиенту с помощью ISATAP используя его DNS имя? ;)) А то что-то у меня не выходит, хотя конфигурация простая: один DA-сервер за NAT, т.е. с одним сетевым адаптером.

Ссылка на основную публикацию
Adblock
detector